等保似乎是安全行业内一个长青话题,自2017年6月1日《中华人民共和国网络安全法》发布以来,各政企单位等保测评如火如荼的开展。2019年12月1日网络安全等级保护制度2.0标准正式实施,各政府、企事业单位都需要通过开展等级保护工作,推动等级保护整改建设实施,使得相关信息系统能够达到相应等级的基本保护和防护能力。
那为什么要开展等级保护工作呢?
主要有以下几个原因:
第一、满足国家相关法律法规和制度的要求。等级保护是我国网络安全的基本政策,网络安全法规定了我国实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。单位未开展网络安全等级保护的,发生网络安全事故或受到监管机构检查,单位处一万以上十万以下罚款,责任人处五千以上五万以下罚款。目前国内各地公安部门、网信部门依据《网络安全法》对相关单位进行处罚的案例已有多起。
第二、项目管理可控。自主开展等级保护工作而非由监管机构检查后责令整改,对单位来说能掌握更多的主动权,时间上也相对充裕许多,在项目管理的角度上来讲,时间管理、质量管理及成本管理更加可控。
第三、安全管理体系化,防护能力提升。通过等级保护工作,发现单位信息系统与国家安全标准之间存在的差距,对系统资产的梳理、系统存在的风险点、制度流程的缺陷会有一个更加清晰的认识,查明目前系统存在的安全隐患和不足,通过安全整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,在相关管理流程上会更体系化。
一般测评考核要求
安全管理制度测评-安全策略(三级)
测评指标:a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
测评对象:总体方针策略类文档
测评实施:应核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
具体控制点检查要求:
(1)检查单位是否具有网络安全方针和策略文件;
(2)文件明确了机构网络安全工作的总体目标、范围、原则和各类安全策略。
安全管理制度测评-管理制度(三级)
测评指标:
b) 应对管理人员或操作人员执行的日常管理操作建立操作规程:
测评对象:操作规程类文档
测评实施:应检查是否具有日常管理操作的操作规程,如系统维护手册和用户操作规程等。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
具体控制点检查要求:
(1)检查是否具有日常操作的操作规程,如系统维护手册和用户操作规程等。
安全管理制度测评-管理制度(三级)
测评指标:c)应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
测评对象:总体方针策略类文档、管理制度类文档、操作规程类文档和记录表单类文档。
测评实施:应该检查总体方针策略文件、管理制度和操作规程、记录表是否全面且具有关联性和一致性。
单元判定:如果以上测评实施内容为肯定,则符合本测评单元指标要求,否则不符合本测评单元指标要求。
具体控制点检查要去:
(1)检查总体方针策略文件、管理制度和操作规程、记录表单是否全面且具有关联性和一致性。
以上内容截取安全牛课堂《企业安全建设之解读等保2.0》,课程主要从三个方面去介绍:
①企业安全建设从“0”到“1”需要做什么?企业所残留的历史遗留安全问题,企业安全建设该从哪方面进行防范提升。
②解读等保2.0对企业的影响与应作的义务。
③企业员工安全意识欠缺提升与企业安全应急响应与攻防演练,通过实际案例讲解如何解决企业在当下网络环境中的困境。